Cassandra 用の TLS の構成

ランタイム プレーンの Cassandra 用に TLS を構成する方法

Cassandra は、クライアント マシンとデータベース クラスタの間、およびクラスタ内のノード間で安全な通信を提供します。暗号化を有効にすると、転送中のデータが侵害されず、転送のセキュリティが確保されます。Apigee Hybrid では、Cassandra ノード間、およびクライアントと Cassandra ノードの間の通信に対して TLS がデフォルトで有効になっています。

Cassandra ユーザー認証について

Hybrid プラットフォームでは、Cassandra がランタイム プレーン データのバックエンド データストアとして使用されます。デフォルトでは、クライアントから Cassandra への通信には認証が必要です。クライアントで Cassandra との通信に使用されるユーザーは 3 種類あります。こうしたユーザーにはデフォルト パスワードが提供されており、そのパスワードを変更する必要はありません。

このようなユーザーとデフォルト ユーザーは次のとおりです。

  • DML ユーザー: クライアントによる Cassandra からのデータの読み取りと Cassandra へのデータの書き込みに使用されます(KMS、KVM、キャッシュ、割り当て)。
  • DDL ユーザー: キースペースの作成、更新、削除などのデータ定義タスクのために MART によって使用されます。
  • 管理ユーザー: Cassandra クラスタで行われる管理アクティビティに使用されます。
  • デフォルト Cassandra ユーザー: 認証が有効になっている場合、cassandra という名前のデフォルト ユーザーが自動的に作成されます。

デフォルト パスワードの変更

Apigee Hybrid では、Cassandra ユーザーにデフォルト パスワードが用意されています。各ユーザーのデフォルト パスワードを変更する場合は、overrides.yaml ファイルで行います。次の構成を追加してデフォルト パスワード("iloveapis123")を自由に変更し、変更をクラスタに適用します。

すべてのユーザー名は小文字にする必要があります。

cassandra:
   auth:
     default:  ## the password for the new default user (static username: cassandra)
       password: "iloveapis123"
     admin: ## the password for the admin user (static username: admin_user)
       password: "iloveapis123"
     ddl: ## the password for the DDL User (static username: ddl_user)
       password: "iloveapis123"
     dml: ## the password for the DML User (static username: dml_user)
       password: "iloveapis123"

次の点にご注意ください。

  • 認証局(CA)のローテーションはサポートされていません。
  • パスフレーズ付きで生成されたサーバー証明書はサポートされていません。

Cassandra のログを確認する

Cassandra が起動した後すぐにログを確認します。次のログは、Cassandra のクライアント接続が暗号化されていることを示しています。

kubectl logs apigee-cassandra-2 -n apigee -f

INFO  00:44:36 Starting listening for CQL clients on /10.0.2.12:9042 (encrypted)...
INFO  00:44:36 Binding thrift service to /10.0.2.12:9160
INFO  00:44:36 enabling encrypted thrift connections between client and server
INFO  00:44:36 Listening for thrift clients...